信息安全等级保护现状浅析
时间:2022-10-25 10:52:48
【 摘 要 】 信息安全等级保护是我国信息安全建设的一项基本制度,是保障信息化健康发展的重要手段。本文介绍了信息安全等级保护国内外发展历程,以及我国信息安全等级保护的现状,在此基础上,分析了我国等级保护存在的问题,并提出了进一步做好信息安全等级保护工作的建议。
【 关键词 】 信息安全;等级保护;现状及问题;建议
【 中图分类号 】 TP393.08 【 文献标识码 】 A
Discussion the Status of Information Security base on Graded Protection
Zhang Wei-li
(CCID Think tank, China Center of Information Industry Development Beijing100048)
【 Abstract 】 Information Security base on Graded Protection is a basic regime of the construction of information security in our country, and is an important means to guarantee the healthy development of information technology. Information Security base on Graded Protection ,development both at home and abroad were introduced in this paper, as well as the status quo of Graded Protection in China. On this basis, the paper analyzes the problems existing in the Graded Protection in China, and put forward some Suggestions for bettering Graded Protection work.
【 Keywords 】 information security; graded protection; status and problems; suggestion
1 引言
目前对信息及信息系统实行分等级保护是各国保护关键基础设施的通行做法。在我国信息安全等级保护是保障国家信息安全的一项基本制度。通过信息安全等级保护工作,实现信息安全资源的优化配置,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全,有效提高我国信息和信息系统安全建设的整体水平。
1.1 信息安全等级保护的概念及等级划分
信息系统安全等级保护是指对信息以及信息系统分等级进行安全保护和监管;对信息安全产品的使用进行分等级管理;对信息系统中发生的信息安全事件分等级响应、处置的综合性工作制度。
根据信息系统在国家安全、经济建设、社会生活中的重要程度,以及信息系统遭到破坏后对国家安全、社会秩序、公共利益,以及公民、法人和其他组织的合法权益的危害程度等因素,将信息系统安全等级由低到高分为五个等级:第一级,自主保护级;第二级,指导保护级;第三级,监督保护级;第四级,强制保护级;第五级,专控保护级。依据安全保护能力也划分为五个等级:第一级,用户自主保护级;第二级,系统审计保护级;第三级,安全标记保护级;第四级结构化保护级;第五级访问验证保护级。
1.2 国外信息安全等级保护的发展历程
等级保护思想最早源于20世纪60年代的美军文件保密制度,其中第一个比较成熟并且具有重大影响的是1985年的《可信计算机系统评估准则》(TCSEC),该准则是当时美国国防部为适应军事计算机的保密需要提出的,主要是针对没有外部连接的多用户系统提出。
受美国等级保护思想的影响,欧盟和加拿大也分别制定自己的等级保护评估准则。英、法、德、荷等四国于1991年提出了包含保密性、完整性、可用性等概念的欧共体的《信息技术安全评估准则》(ITSEC)。ITSEC 作为多国安全评估标准的综合产物,适用于军队、政府和商业部门。1993年加拿大公布《可信计算机产品评估准则》(CTCPEC)3.0版本。CTCPEC作为TCSEC和ITSEC的结合,将安全分为功能性要求和保证性要求两部分。功能性要求分为机密性、完整性、可用性、可控性等四个大类。
为解决原各自标准中出现的概念和技术上的差异,1996年美国、欧盟、加拿大联合起来将各自评估准则合为一体,形成通用评估准则(Common Criteria)。1999年出台的CC2.1版本被ISO采纳,作为ISO15408。在CC中定义了评估信息技术产品和系统安全性所需要的基础准则,是度量信息技术安全性的基准。
1.3 我国信息安全等级保护的发展历程
在国际信息安全等级保护发展的同时,随着信息化建设的发展,我国的等级保护工作也被提上日程。其发展主要经历了四个阶段。
1994-2003年是政策环境营造阶段。国务院于1994年颁布《中华人民共和国计算机信息系统安全保护条例》,规定计算机信息系统实行安全等级保护。2003年,中央办公厅、国务院办公厅颁发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出“实行信息安全等级保护”。此文件的出台标志着等级保护从计算机信息系统安全保护的一项制度提升到国家信息安全保障一项基本制度。
2004-2006年是等保工作开展准备阶段。2004年至2006年期间,公安部联合四部委开展了涉及65117家单位,共115319个信息系统的等级保护基础调查和等级保护试点工作。通过摸底调查和试点,探索了开展等级保护工作领导、组织、协调的模式和办法,为全面开展等级保护工作奠定了坚实的基础。
2007-2010年是等保工作正式启动阶段。2007年6月,四部门联合出台了《信息安全等级保护管理办法》。7月四部门联合颁布了《关于开展全国重要信息系统安全等级保护定级工作的通知》,并于7月20日召开了全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着我国信息安全等级保护制度历经十多年的探索正式开始实施。
2010年至今是等保工作规模推进阶段。2010年4月,公安部出台了《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,提出等级保护工作的阶段性目标。2010年12月,公安部和国务院国有资产监督管理委员会联合出台了《关于进一步推进中央企业信息安全等级保护工作的通知》,要求中央企业贯彻执行等级保护工作。至此我国信息安全等级保护工作全面展开,等保工作进入规模化推进阶段。
2 我国信息安全等级保护的现状
2.1 等级保护的组织架构初步形成
截止目前,除了国家信息安全等级保护协调小组办公室外,在大陆31个省、自治区、直辖市当中除天津、黑龙江、河南、重庆、陕西外,有26个行政区成立了省级的信息安全等级保护协调小组办公室。22个省、自治区、直辖市建立了信息安全等级保护联络员制度,共确定1598名联络员。获得信息安全等级保护测评机构推荐资质的测评机构共121家,除新疆外各省均有获得资质的等级保护测评机构,其中国家的测评机构有7家,北京市有10家,江苏省有14家,浙江省、山东省各有7家,广东省有6家,其他省、自治区、直辖市有1-5家不等。25个行政区建立了等级保护专家组,共确定441名专家。
2.2 信息安全等级保护的政策体系初步形成
为组织开展信息安全等级保护工作,国家相关部委(主要是公安部牵头组织,会同国家保密局、国家密码管理局、原国务院信息办和发改委等部门)相继出台了一系列文件,对具体工作提供了指导意见和规范,这些文件初步构成了信息安全等级保护政策体系。具体关系如图1。
《中华人民共和国计算机信息系统安全保护条例》和《国家信息化领导小组关于加强信息安全保障工作的意见》分别是开展信息安全等级保护工作的法律依据和政策依据。《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》是在法律依据和政策依据的基础上制定的政策文件,其为等级保护工作的开展提供宏观指导。在上述基础上,针对信息安全等级保护工作的定级、备案、安全建设整改、等级测评、监督检查的各工作环节制定具有操作性的指导文件。政策体系的形成,为组织开展等级保护工作、建设整改工作和等级测评工作提供了指导,明确了各环节的工作目标、工作要求和工作流程。
2.3 信息安全等级保护的标准体系基本完善
为推动信息安全等级保护工作,全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,汇集成《信息安全等级保护标准汇编》,为开展等级保护工作提供了标准指导。这些标准与等保各环节的工作关系如图2所示。
《计算机信息系统安全保护等级划分准则》及配套标准是《信息系统安全等级保护基本要求》的基础。《信息系统安全等级保护基本要求》是信息系统安全建设整改的依据,信息系统安全建设整改应以落实《基本要求》为主要目标。《信息系统安全等级保护定级指南》是定级工作的指导性文件,为信息系统定级工作提供了技术支持。《信息系统安全等级保护测评要求》等标准规范了等级测评活动,为等级测评机构开展等级测评活动提供了测评方法和综合评价方法。《信息系统安全等级保护实施指南》是信息系统安全等级保护建设实施的过程控制标准,用于指导信息系统运营使用单位了解和掌握信息安全等级保护工作的方法、主要工作内容以及不同的角色在不同阶段的作用。
2.4 信息安全等级保护的工作取得一定进展
各重点行业根据等级保护的政策要求开展了本系统内的等级保护工作。为落实相关等级保护政策有关行业制定了自己的行业标准,例如《广播电视相关信息系统安全等级保护等级指南》、《水利网络与信息安全体系建设基本技术要求》等。金融领域,人民银行出台了《中国人民银行关于银行业金融机构信息系统安全等级保护等级的指导意见》,并于2012年了金融行业的《金融行业信息系统信息安全等级保护实施指引》、《金融行业信息安全等级保护测评服务安全指引》、《金融行业信息系统信息安全等级保护测评指南》等三项行业标准,在采用《信息系统信息安全等级保护基本要求》的590项基本要求的基础上,补充细化基本要求项193项,新增行业特色要求项269项,为金融行业开展关键信息系统信息安全等级保护实施工作具奠定了坚实基础。
测评和安全建设工作有序开展。截止到2012年底,全国已经开展了5万多个第二级信息系统和4万多个三级系统的等级测评,并完成了相应的信息系统的等级保护安全建设整改。2012年底,全国性银行业金融机构完成了880个二级以上信息系统的定级评审。2012年对反洗钱中心、征信中心、清算中心和金融中心的48个重要信息系统进行了测评,共发现4284项安全问题,整改完整3451向,通过整改后其信息系统的整改测评率达到了90%以上。
3 我国信息安全等级保护存在的问题
3.1 信息系统运营使用单位对等级保护工作的重视程度还不够
近年来信息安全等级保护主管部门高度重视等级保护工作,制定相关政策和标准,举办等级测评师培训等,但信息系统主管部门以及全社会对信息安全等级保护在信息安全保障体系中的基础性地位认识还不到位,难以将等级保护制度和已有信息安全防护体系相衔接,工作方式简单,手段缺乏,甚至出现以其他工作代替信息安全等级保护工作的消极倾向。同时,在工作中,一些企业还存在不愿投资,不愿受监管的思想,为节省人力、物力、财力将本该定为三级的重要信息系统定位二级,这些都影响信息安全等级保护制度的全面落实。
3.2 等级保护属于合规性被动防护与目前信息安全主动防御需求还有差距
信息安全等级保护属于政策性驱动的合规性保护,这种合规性保护只关注通用信息安全需求,并且属于被动保护,对于当前信息安全保护中的主动防御要求还有差距。例如,中国铁路客户服务中心12306网站定义为等级保护四级,2012年,曾暴露出被黑客拖库,以及因机房空调问题停止服务等问题,而这两项内容都在等级保护规范中有明确的要求。所以,认为通过等级保护的评测就不会出问题显然是一种误区。
另外,2010年“震网”病毒事件破坏了伊朗核设施,表明网络攻击由传统“软攻击”上升为直接攻击要害系统的“硬摧毁”。2013年曝出的棱镜门事件,2014年曝出的美国国安局入侵华为服务器等,这些事件表明当今信息安全的主要特征是要建立主动防御体系,例如建立授权管理机制、行为控制机制以及信息的加密存储机制,即使信息得到泄露也不会被黑客轻易获得。而等级保护是一种被动的、前置的保护手段,与当前信息安全保护所要求的实时的、主动防御还有一定的差距。
3.3 现有防护手段难以满足新技术发展应用中的信息安全需求
信息安全等级保护政策标准的滞后,难以满足新技术应用的信息安全需求。例如,当前的物联网、云计算、移动互联网的应用呈现出新特点,提出了新的安全需求,在网络层面原本相对比较封闭的政府、金融、能源、制造系统开始越来越多的与互联网相连接;计算资源层面,云计算的应用,呈现出边界的消失、服务的分散、数据的迁移等特点,使得业务应用和信息数据面临的安全风险愈发复杂化。用户终端层面,移动互联、智能终端大行其道,BYOD的应用等,都为企业信息安全管理提出新挑战。
大数据的应用,很可能会出现将某些敏感业务数据放在相对开放的数据存储位置的情况。针对这些边界逐渐消失,服务较为分散,应用呈现虚拟化,敏感业务数据放在相对开放的数据存储位置,等级保护的“分区、分级、分域”保护的原则已无法有效应用。如何有效满足新技术应用下的信息安全需求,也是等级保护下一步需要考虑的内容。
4 进一步做好信息安全等级保护的相关建议
4.1 扩大宣传力度,提高全社会对等保的重视程度
等级保护是我国信息安全建设的基本制度,需提高全社会对等级保护的重视程度,尤其是要提高信息系统主管部门对信息安全等级保护工作重要性的认识。在工作中,可以通过重要信息系统之间的项目依赖性分析,关键部门影响性分析等方法,来增强信息系统主管部门以及全社对信息系统信息安全重要性的认识。在各行业、企业内部,应当通过加强宣传教育培训,提高信息系统使用和运维人员的对信息安全等级保护的重视程度。在等级保护工作推进工作中,对故意将信息系统安全级别定低现象进行严查。
4.2 引入可信计算等主动防御理念,充分发挥等保在信息安全建设中的作用
要充分发挥等保在国家信息安全建设中的作用,需要从技术和管理两个方面进行安全建设,做到可信、可控、可管;并且应当具有抵御来自敌对组织高强度连续攻击(APT)的能力,以满足当前信息安全形势的需求。而可信计算技术可以实现计算处理结果与预期的相一致,中间过程可控制管理、可度量验证。因此,可在信息安全等级保护基本要求等技术标准中引入可信计算的理念,将传统的三重防护上升为可信计算环境、可信边界、可信通信网络组成的可信环境下的三重防护,从而实现主体的可信计算安全,进一步实现等级保护主动防御功能,充分发挥等级保护在信息安全建设中的作用。
4.3 完善等保技术标准体系,推进等级保护在云计算中的应用
针对当前的物联网、工业控制系统、移动互联网,云计算应用中带来的数据高度集中、高虚拟化等的特点,信息安全等级保护应当在等级保护建设时必须加入对终端安全更高的基本需求。例如,在业务终端与业务服务器之间进行路由控制建立安全的访问路径;通过设定终端接入方式、网络地址范围等条件限制终端登录等。同时在虚拟环境下,要求安全设备能识别网络虚拟标签,区分每台虚拟机主机。针对云计算中边界模糊化的特点,可以通过软件安全实现对动态边界的监测,保证其安全。具体推进中,可以通过完善等级保护相关整改建设指南,等级测评工作指南以及相关技术标准等,以指导具体工作的开展,从而以推进等级保护在云计算、物联网、工控领域的等中的应用。
4.4 借鉴经验,完善等级保护制度设计和体系建设
目前《信息安全等级保护定级指南》确定的对象是信息系统,《信息安全等级保护基本要求》也是针对自身具备运行的物理环境、网络环境、系统环境和应用以及相关人员和管理体系等完整、标准的意义上的信息系统而提出的,而对于重要信息系统运行所依赖的网络系统、IDC(互联网数据中心)、灾备中心等这样的对象,无论是定级方法、保护要求还是测评结果判定方面等都还存在不合适的地方。
对此可以在定级过程中,参考美国经验,引入系统法(特别是相互依赖性分析)和象征法,加深对定级对象的认识,通过仿真建模等分析技术进行定级合理性的验证。在等级测评过程可以引入风险分析、威胁评价、系统分析等过程加强测评结果的可量化性。同时研究国外相关信息安全建设中的法律体系、标准体系、组织保障体系等,并在此基础上进行自主创新,以改进我们等级保护实践中发展的制度设计问题,提高政策、理论和技术水平。
5 结束语
当前信息技术发展迅速,信息安全面临的国际形势日益严峻,信息安全等级保护作为贯穿信息系统整个生命周期的信息安全保障措施,应当不断完善其法律体系、技术标准体系以及实施保障机制等,以适应满足新形势下的信息安全需求。
参考文献
[1] 《信息安全等级保护管理办法》(公通字[2007] 43 号).公安部,2007.
[2] 《计算机信息系统安全保护等级划分准则》(GB17859).
[3] DoD ,Trusted Computer System Evaluation Criteria(Orange Book), 26 December 1985.
[4] Information Technology Security Evaluation Criteria;1994.
[5] The Canadian Trusted Computer Product Evaluation Criteria;Version 3 ;1993.
[6] Common Criteria Project Sponsoring Organisations. Common Criteria for Information Security Evaluation Part 1-3, Version2.1. Augest 1999.
[7] ISO/IEC 15408-1:2005 Information technology ―― Security techniques ―― Evaluation criteria for IT security.
[8] 国务院.《中华人民共和国计算机信息系统安全保护条例》. 1994.
[9] 公安部、国家保密局、国家密码管理委员会和国家信息办.《信息安全等级保护的实施意见》(公信安[2007] 861 号). 2007.
[10] 宋言伟,马钦德,张健.信息安全等级保护政策和标准体系综述.信息通信技术,2010(6):59-61.
作者简介:
张伟丽,女,工程师,现供职于中国电子信息产业发展研究院(工业和信息化部赛迪智库),主要从事电子认证、网络与信息安全等领域工作。
